Wenn plötzlich w4l3XzY3 auf der eigenen Website steht.

| Der WP-Typ » Wenn plötzlich w4l3XzY3 auf der eigenen Website s...

Oh man, was für ein Monat! Wenn Sie’s noch nicht gehört haben, erzähle ich Ihnen die ganze Story in aller Ausführlichkeit:

WordPress REST-API Sicherheitslücke

Am 26. Januar gab es ein Sicherheitsupdate von WordPress auf die Version 4.7.2. Allerdings beschrieb der Blogpost zum Update (en.) bis dahin nicht, dass mit dem Update eine schwerwiegende Lücke in der (neuen) REST-API geschlossen wurde. Erst Tage später wurden in einem weiteren Blogpost die Details (en.) veröffentlicht.

Sucuri (ein Sicherheitsunternehmen) hat den Fehler entdeckt und das WordPress-Sicherheitsteam am 20. Januar informiert.

Was war der Fehler?

Ein so genannter Endpunkt erlaubte über die API Artikel zu bearbeiten, anzulegen und zu löschen. Dafür war nur eines nötig: die Übergabe einer Artikel-ID die in der Datenbank gar nicht existierte. Dadurch wurde die Überprüfung der Rechte deaktiviert und ein möglicher Angreifer konnte ungehindert Daten überschreiben.

Was war noch einmal die REST-API und warum braucht man sie?

Ich habe im Mai-Newsletter detailliert beschreiben, was die WordPress REST-API ist und wofür man sie verwenden kann. Nun entstehen natürlich hitzige Diskussionen darüber, ob die REST-API überhaupt benötigt wird und warum diese standardmäßig aktiv ist. Meine Meinung dazu ist, dass wir nicht an ihr vorbeikommen. Denn mit den neuen technischen Möglichkeiten werden immer mehr Plugin- und Theme-Entwickler sie nutzen und dann muss sie ohnehin wieder aktiviert werden.

Was kann man tun?

Updaten! Bitte updaten Sie Ihre WordPress-Seite so schnell es geht auf die aktuellste Version. In vielen Fällen ist das sicherlich schon automatisch geschehen.

Wie erkenne ich, ob ich gehackt wurde?

Einem Support-Ticket zufolge erschienen am Anfang auf einer gehackten Website Phrasen wie:

  • Hacked by NG689Skw,
  • Hacked by w4l3XzY3,
  • By+NeT.Defacer & By+Hawleri_hacker,
  • Cyb3r-Shia oder ähnliches.
  • Oft wurde auch der Auszugtext mit „Update WordPress or you will be hacked“ (zu deutsch: „Updaten Sie Ihre WordPress-Seite oder Sie werden gehackt“) erweitert.

In den meisten Fällen werden Hacker nicht versuchen, ihre Seite zu löschen. Im Gegenteil. Sie werden Inhalte ergänzen um für mehr SEO-Spam zu sorgen. Das heißt: Backlinkaufbau für irgendwelche anderen Webseiten, wie Sucuri beschreibt.

Wie geht’s weiter?

Mittlerweile wird den WordPress-Machern „Verharmlosung“ vorgeworfen (siehe Heise-Online-Artikel, dt.). Immerhin nutzen mittlerweile mehr als 27% aller Internet-Seiten WordPress. Viele davon werden oft nicht geupdatet, vielleicht auch, weil der Webhoster die automatischen Updates nicht unterstützt. Ob man ihnen jedoch „Verharmlosung“ vorwerfen kann, will ich nicht beurteilen. Immerhin muss bei solchen Bugs erst einmal der Ball flach gehalten werden. Man darf auch nicht vergessen, dass es sich immerhin um ein Open-Source Projekt handelt bei dem viele Freiwillige mitarbeiten. Und genauso sind natürlich andere Systeme (von Drupal bis Joomla) von Sicherheitslücken betroffen. Letztlich könnte ein Hacker auch Zugriff zu Ihren E-Mails haben ohne das sie es merken. Nicht selten schweigen die Hersteller bis zum nächsten Update. Da finde ich es doch besser, offen und ehrlich zu sein.

Absolute Sicherheit gibt es eben nicht. Deshalb gilt die oberste Regel: machen Sie Updates!

WordPress News

Meta-Generator-Tag in WordPress
WordPress Metatag für den Generator

Interessanterweise wurden zur gleichen Zeit, als die Sicherheitslücke in WordPress aufgeploppt ist, auch massiv E-Mails von Google versandt. Darin stand, man solle doch bitte seine WordPress-Installation updaten. Zu aller erst: Ja, die E-Mails sind in der Regel echt. Google verschickt sie, wenn Sie Ihre Website in den Webmaster-Tools hinterlegt haben. Der Suchmaschinen-Gigant erkennt die Version an einem (nicht sichtbaren) HTML-Tag, der standardmäßig eingefügt wird. Dort ist die Version hinterlegt und so kann sie auch abgeglichen werden.

Die Überprüfung geschieht nicht in live. Das heißt, dass solche E-Mails teilweise Tage verspätet eintreffen können. Das geht aus den E-Mails aber nicht hervor und stiftet daher Verwirrung. Ein Google-Mitarbeiter hat angekündigt den Text zu überarbeiten.

Wie ich im Januar beschrieben habe, legt WordPress nun den Fokus auf den Customizer, die REST-API und den Editor. Die Arbeiten am Editor haben schon begonnen und es gibt sogar einen kleinen Protoypen zum Testen. Getauft wurde er „Gutenberg“.

Am Anfang (der Entwicklung des Prototyps) wurde gefragt, wie denn die User eigentlich den Editor nutzen, denn Statistiken dazu gibt es nicht. Immerhin erfasst WordPress keine (oder nur wenige) Daten der Benutzer. Aber das soll sich nun ändern, wie WP-Tavern beschreibt. Einen geeigneten Vorschlag zur Erhebung von Telemetrie-Daten gibt es schon.

Scott Arciszewski (bekannt für seine Arbeit in der Kryptographie) musste mal seinen Frust von der Seele schreiben. Er kritisierte Matt Mullenweg öffentlich auf Medium.com zum Thema Sicherheit (ja, noch ein Sicherheitsthema!). Sein Vorwurf: Matt kümmere sich zu wenig um die Sicherheit von WordPress. Im Auge hatte er wohl das Update-System von WordPress welches nicht genügend geschützt sei. Tatsächlich gab schon einmal eine Sicherheitslücke dazu (ich berichtete im Dezember davon). Seiner Meinung nach müsse der Update-Mechanismus digital unterzeichnet sein damit sichergestellt sei, dass niemand versucht, angepasste Dateien über ein automatisches Update einzuspielen. Dazu hat er sogar einige Code-Änderungen bei WordPress eingereicht. Allerdings wurde er dann von einem Core-Entwickler gebremst, was wiederum wohl für den Frust sorgte.

Seinen Artikel bei Medium ist zwischenzeitlich gelöscht. Über die Wayback-Machine (en.) kann man ihn trotzdem noch lesen. Matt hat dann auf diesen Artikel geantwortet (en.) und Scott mitgeteilt, dass diese Baustelle nach hinten verschoben werden müsste, da eine solche digitale Unterzeichnung auch serverseitig unterstützt werden muss. Und das brauche Zeit.

Die Bezahl-Version von WordPress (wordpress.com) hat jetzt sogar eine eigene Videowerbung. Schon gesehen? Ausgespielt wurde sie wohl zum Super-Bowl in den USA:

Weitere News

Mittlerweile ist die SSL-Umstellung in vollem Gange. Der Google-Browser Chrome weist mit Version 56 darauf hin, wenn Formulare auf einer nicht-SSL-geschützten Seite abgesendet werden. In einer der kommenden Version (en.) werden wir dann noch ein fettes rotes „Nicht Sicher“ in der Adresszeile sehen, falls die Website kein eigenes Zertifikat besitzt.

Sie sollten jetzt bei Ihrem Webhoster nachfragen, ob er Ihnen ein Zertifikat installiert, denn mittlerweile ist ein solches bereits zum Ranking-Faktor von Suchmaschinen geworden. Immerhin: Mehr als 50% des WebTraffics ist schon geschützt (en.).

Jetzt da Obama nicht mehr Präsident ist, hat er wohl die Zeit gefunden die eigene Website der ObamaFoundation zu überarbeiten. Natürlich mit WordPress! Yey! (Quelle: WPTavern, en.)

Aktuell kursiert wohl wieder eine Kommentar-Spam-Welle. Ich merke das an unseren eigenen Seiten und den vielen Mails die ich von Kunden erhalte. Es gibt aber schon Updates für die diversen AntiSpam-Plugins (wie z.B. AntiSpam Bee). Damit soll’s dann wieder besser werden.

Welche Plugins brauche ich überhaupt? Yoast hat in einem Blogpost mal ein paar Plugins vorgestellt (en.), die jede Seite haben sollte. Darunter natürlich das hauseigene SEO-Plugin (engl.).

Ein neues Plugin soll die Generierung von Child-Themes einfacher machen: Child-Theme Generator Plugin.

Auch interessant von Yoast: so genannte Affiliate (Werbe) Links sollte man „cloaken“ (en.). Was das heißt und warum es sinnvoll ist, steht im dortigen Artikel.

JetPack gibt’s jetzt auch in einer neuen Version. Es gibt wieder neue Shortcodes und ab jetzt auch die Möglichkeit, Werbung von WordPress.com auszustrahlen. Wer also Lust auf’s Geld-verdienen hat, sollte sich die neueste Version anschauen.

Warum brauche ich einen Blog?

The Little Red Book of Selling
The Little Red Book of Selling

Ja, diese Frage stellt man sich des Öfteren. Warum soll ich überhaupt Neuigkeiten veröffentlichen? Die Antwort ist: weil es am Ende zum Verkauf gehört. So richtig bewusst wurde mir das wieder, als ich das Buch The Little Red Book Of Selling (en.) von Jeffrey Gitomer gelesen habe.

If someone were to ask me for ONE thing that I can pinpoint to my success, without a nanosecond of hesitation, I would answer, „writing.“

Ich habe mir Anfang des Jahres vorgenommen auch einmal Bücher zu lesen, die außerhalb meines normalen Technikbereichs liegen. Dazu habe ich ein paar Freunde gefragt, welchen Tipp sie mir geben würden. Ein Tipp war das im letzten Newsletter empfohlene Das Design-Buch für Nicht-Designer (dt.). In diesem Monat möchte ich ihnen jedoch diese kleine, rote Büchlein empfehlen.

That’s it!

Und nicht vergessen: Das WordCamp Paris findet im Juni statt! Es gibt noch 600 Tickets!

https://twitter.com/floriansimeth/status/824182384811802624

Ihr Dipl. Ing. (FH) Florian Simeth